Warum Ransomware Angriffe trotz Backups erfolgreich sind

Hintergrund und Bedeutung des Problems

In der Welt der Cybersicherheit galt eine regelmäßige und zuverlässige Datensicherung schon immer als einer der grundlegendsten Abwehrmechanismen gegen Ransomware-Angriffe. Die Logik ist einfach: Wenn ein Angreifer Ihre Systeme verschlüsselt, können Sie den Betrieb wieder aufnehmen, indem Sie Ihr letztes sauberes Backup wiederherstellen, anstatt das Lösegeld zu zahlen. Ein neuer Bericht, der von BleepingComputer veröffentlicht wurde und auf Analysen der Cybersicherheitsfirma Acronis basiert, zeigt jedoch, dass diese traditionelle Denkweise nicht mehr ausreicht. Dem Bericht zufolge sind sich moderne Ransomware-Gruppen dieser Verteidigungslinie bewusst und haben ihre Angriffsstrategien entsprechend weiterentwickelt. Der erste Schritt eines Angriffs besteht nicht mehr darin, Daten zu verschlüsseln, sondern die Lebensader des Unternehmens zu finden und vollständig zu zerstören: seine Backup-Systeme.

Die technische Dimension und die Phasen des Angriffs

Das Anvisieren von Backup-Systemen durch Angreifer ist Teil einer mehrstufigen, sorgfältig geplanten Operation. Dieser Prozess beginnt lange bevor die Ransomware selbst im Netzwerk aktiviert wird. Hier ist die typische Anatomie dieser Angriffe:

• Infiltration des Netzwerks und Aufklärung: Angreifer verschaffen sich in der Regel durch Methoden wie Phishing-E-Mails, anfällige Remote Desktop Protocols (RDP) oder gestohlene Anmeldeinformationen ersten Zugriff auf das Zielnetzwerk. Sobald sie drin sind, beginnen sie nicht sofort mit der Verschlüsselung. Stattdessen gehen sie in eine „Aufklärungsphase“ über, die Wochen oder sogar Monate dauern kann. Während dieser Zeit kartieren sie das Netzwerk, identifizieren kritische Server, Datenbanken und vor allem die Backup-Infrastruktur.
• Identifizierung der Backup-Infrastruktur: Angreifer suchen nach den Verwaltungskonsolen gängiger Backup-Software wie Veeam, Commvault, Acronis oder Windows Server Backup. Sie identifizieren Backup-Server, Speichereinheiten (NAS/SAN) und Cloud-Backup-Konten im Netzwerk. Sie konzentrieren sich darauf, die administrativen Anmeldeinformationen zu kompromittieren, die für den Zugriff auf diese Systeme erforderlich sind.
• Zerstörung der Backups: Sobald sie den notwendigen Zugriff haben, eliminieren die Angreifer systematisch alle Wiederherstellungspunkte. Dies kann auf verschiedene Weisen geschehen:
  • Löschen lokaler Backups: Sie verbinden sich mit dem Backup-Server und löschen alle vorhandenen Backup-Sätze und deren Kataloge.
  • Zerstörung von Snapshots: Sie deaktivieren Snapshot-Mechanismen auf Betriebssystemebene wie den Volume Shadow Copy Service (VSS) von Windows und löschen alle vorhandenen Schattenkopien. Dies verhindert die Selbstwiederherstellungsfähigkeiten des Systems.
  • Angriff auf Cloud-Backups: Wenn das Unternehmen Cloud-basierte Backups verwendet, nutzen die Angreifer die kompromittierten Anmeldeinformationen, um sich in das Cloud-Konto einzuloggen und alle dort gespeicherten Backup-Daten dauerhaft zu löschen.
• Verteilung der Ransomware: Nachdem alle Backups und Wiederherstellungsoptionen beseitigt wurden, machen die Angreifer den letzten Schritt und verteilen die Ransomware auf alle kritischen Systeme im Netzwerk, um die Daten zu verschlüsseln. An diesem Punkt ist das Opferunternehmen in die Enge getrieben. Es hat kein Backup zur Wiederherstellung und beginnt zu glauben, dass es keine andere Wahl hat, als das Lösegeld zu zahlen.

Warum sind Backup-Systeme so anfällig?

Der Acronis-Bericht hebt hervor, dass viele Unternehmen ernsthafte Mängel beim Schutz ihrer Backup-Infrastruktur aufweisen. Die Tatsache, dass Backup-Systeme oft im selben Netzwerk wie die Hauptproduktivumgebung liegen und mit denselben administrativen Anmeldeinformationen verwaltet werden, erleichtert den Angreifern die Arbeit. Sobald ein Angreifer in das Netzwerk eingedrungen ist und Administratorrechte erlangt hat, kann er problemlos auf Live-Systeme und Backups zugreifen. In solchen Fällen kann die Verwendung einer Datenleck Suche zur Überprüfung, welche persönlichen Daten möglicherweise vor oder während des Ransomware-Angriffs exfiltriert wurden, ein entscheidender Schritt bei der Schadensbewertung sein.

Verteidigungsstrategien für Organisationen und Einzelpersonen

Um sich vor diesen Bedrohungen der neuen Generation zu schützen, muss man über das traditionelle Backup-Konzept hinausgehen. Hier sind die entscheidenden Maßnahmen, die Organisationen und technisches Personal ergreifen sollten:

• Implementieren Sie die 3-2-1-Regel: Bewahren Sie immer drei Kopien Ihrer Daten auf zwei verschiedenen Medientypen auf, wobei eine Kopie extern (off-site) gelagert wird.
• Unveränderliche (Immutable) Backups: Verwenden Sie Backup-Lösungen, die Sicherungen erstellen, die für einen bestimmten Zeitraum nicht gelöscht oder geändert werden können.
• Air-Gapped Backups: Bewahren Sie eine Kopie Ihrer Backups auf einem Medium auf, das physisch nicht mit dem Netzwerk verbunden ist (z. B. externe Festplatten, Bandkassetten).
• Privileged Access Management (PAM): Stellen Sie sicher, dass die Konten zur Verwaltung von Backup-Systemen von den Administratorkonten des Hauptnetzwerks getrennt und stark eingeschränkt sind.
• Zero-Trust-Architektur: Vertrauen Sie standardmäßig keinem Benutzer oder Gerät in Ihrem Netzwerk.
• Regelmäßige Tests und Übungen: Stellen Sie durch regelmäßige Tests sicher, dass Ihre Backups wiederherstellbar sind.

Zusammenfassend lässt sich sagen, dass Backups nach wie vor der Eckpfeiler der Cyber-Resilienz sind, aber allein nicht mehr ausreichen. Die Backup-Infrastruktur selbst muss als eines der wertvollsten Güter des Unternehmens betrachtet und genauso rigoros geschützt werden wie die Produktionssysteme.

Kaynak

https://www.bleepingcomputer.com/news/security/why-ransomware-attacks-succeed-even-when-backups-exist/